Вимоги щодо термінальних пристроїв

Edge Webex Calling

Щоб здійснити реєстрацію SIP або виклик, виконайте вказані далі кроки.

  • Знайдіть адресу хоста SIP-терміналу для активних хостів Edge.

  • Виконайте всі попередні умови, пов’язані з конфігурацією користувача й пристрою.

  • Щоб розпочати виявлення служби, переконайтеся, що термінальний пристрій з’єднано із загальнодоступною мережею.

  • Виконайте попередні умови початкового завантаження термінального пристрою з конфігурацією підготовки відповідно до регіону або центру обробки даних. За допомогою цієї конфігурації можна отримати відповідний суфікс імені домену для виявлення служб.

Порівняння IPv4 й IPv6

Пристрої можуть працювати в одинарному режимі або в режимі подвійного стека. Його конфігурація визначає зміни в бажаному протоколі, і ці зміни не є частиною процесу виявлення служби.

  • Режим одинарного стека: дозволяє використовувати тільки один протокол IP (наприклад, IPv4) і ігнорує інші адреси протоколів.

  • Режим подвійного стека: вибирає бажану версію IP через конфігурацію.

Клієнт розцінює пріоритет усіх бажаних адрес як нижчий (тобто бажаний), ніж для всіх адрес IP. Якщо бажаним є протокол IPv4, перш ніж здійснити спробу щодо адреси IPv6, здійснюються спроби щодо всіх адрес IPv4. Якщо жодна спроба щодо всіх адрес не виявиться вдалою, цикл почнеться знову з адреси бажаного протоколу з найменшим пріоритетом.

Мобільний клієнт, який реєструють після отримання push-сповіщення, може оптимізувати режим з огляду на попередні реєстрації.

Визначення адреси хоста за адресою DNS SRV

У файлі конфігурації термінального пристрою, отриманому під час підготовки, індикатор домену вказує на ім’я домену для виявлення межової служби доступу. Прикладом імені домену є:

wxc.edge.bcld.webex.com

З огляду на приклад термінальний пристрій, який виконує пошук DNS SRV для цього домену, може надати відповідь, подібну до такої:

 # nslookup -type=srv _sips._tcp. wxc.edge.bcld.webex.com _sips._tcp.wxc.edge.bcld.webex.com SRV 5 100 5061 sip-edge1.us-dc1.bcld.webex.com. _sips._tcp.wxc.edge.bcld.webex.com SRV 10 105 5061 sip-edge2.us-dc1. bcld.webex.com. 

У такому разі запис SRV вказує на 3 записи А.

 sip-edge1.us-dc1.bcld.webex.com sip-edge2.us-dc1.bcld.webex.com 

У цьому прикладі оголошуються всі хости для зв’язку з портом 5061 із різними зваженими критеріями й пріоритетом.

Зважайте на ці вимоги щодо термінальних пристроїв.

  • Кінцевий пристрій повинен використовувати _sips._tcp (комбінація служби та протоколу) як префікс для пошуку DNS SRV для отримання адреси хоста для ініціювання зв’язку на основі TLS.

  • Термінальний пристрій має виконати пошук DNS SRV для умов, викладених у розділі Визначення адреси хоста за адресою DNS SRV.

  • Термінальний пристрій має враховувати хост, порт, зважений критерій і пріоритет згідно з оголошенням для кожної адреси хоста. Крім того, він повинен створювати подібність хоста до порту, створюючи підключення сокета під час реєстрації SIP.

  • Специфічні для використання запису DNS SRV критерії вибору хостів на основі пріоритету й зваженого критерію наведено в RFC 2782.

Вимоги щодо SIP і мультимедіа

Вимоги

Опис

Для шифрування відкритого ключа необхідний сертифікат довіри.

Інформацію про повноваження підпису сертифікатів Webex і кореневих ЦС, які є обов’язковими на пристроях, див. в статті.

Підтримувана версія TLS для безпечного SIP

TLS 1.2

Підтримувані шифри TLS для безпечного SIP

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Підтримувані ключі SRTP для захищених мультимедіа

AES_CM_128_HMAC_SHA1_80

Вимоги щодо безпечного SIP із mTLS (mutual TLS)

Вимоги детально описано тут.

Підписаний сертифікат необхідний для успішної авторизації та автентифікації викликів із транку. Сертифікат має відповідати описаним далі вимогам.

  • Сертифікат повинен бути підписаний центром сертифікації, згаданим у розділі Які кореневі органи сертифікації підтримуються для викликів на аудіо й відео платформи Cisco Webex?

  • Передати пакет довіри, згаданий у розділі Які кореневі органи сертифікації підтримуються для викликів на аудіо й відео платформи Cisco Webex?, до CUBE.

  • Сертифікат має бути дійсним завжди.

    • У підписаних сертифікатів термін дії завжди має бути дійсним.

    • У кореневих або проміжних сертифікатів термін дії має бути дійсним, і їх не має бути відкликано.

    • Щоб сертифікати могли використовувати клієнти й сервери, їх має бути підписано.

    • У сертифікатах має міститися повне ім’я домену (FQDN) як загальне ім’я або альтернативне ім’я суб’єкта в сертифікаті з FQDN, вибраним у Control Hub. Наприклад:

      • У CN або SAN сертифіката транку, налаштованого з Control Hub вашої організації зі значенням FQDN london.lgw.cisco.com:5061, має міститися значення london.lgw.cisco.com.

      • У CN або SAN сертифіката транку, налаштованого з Control Hub вашої організації зі значенням SRV london.lgw.cisco.com, має міститися значення london.lgw.cisco.com. Записи, які адреса SRV визначає в рядку (CNAME/A Record/ IP Address), є необов’язковими в SAN.

    • Можна розділити сертифікати з декількома локальними шлюзами, однак спочатку переконайтеся, що вимоги щодо FQDN задоволено.

Інформація, що не ввійшла до статті

Ця стаття не містить указану далі інформацію, пов’язану з безпекою мережі.

  • Вимоги F5 щодо ЦС і шифрів.

  • Відомості про API на основі HTTP для завантаження правил брандмауера для Webex.

  • Відомості про API для пакета довіри.

  • Вимоги щодо брандмауера й вимкнення шлюзу рівня програми (ALG).